AWS Budgets now offers enhanced filtering capabilities and cost metrics, providing greater flexibility in how customers track and manage their cloud costs. Customers can now create budgets for new cost metrics such as net unblended costs and net amortized costs allowing monitoring for costs after discounts. Customers can also exclude dimension values when creating a budget and include existing Cost Explorer charge types such as reservation applied usage, Savings Plan Upfront Fee, and Savings Plan Covered Usage.

These new capabilities enable customers to budget against the actual cost of their applications, teams, or cost centers with support for automated discounts and advanced filtering. For example, customers can now create budgets that incorporate Savings Plans and Reservation discounts, ensuring alignment between budgeted amounts and actual invoiced costs. The new dimension exclusion capabilities allow customers to create more targeted budgets – for instance, a development team could track their project spending by excluding shared enterprise services, or a finance team could monitor regional spending by excluding global services.

These enhancements are available in all AWS Regions, except the AWS GovCloud (US) Regions and the China Regions. To learn more about this new feature, AWS Budgets, and how to monitor costs, visit the AWS Budget product page and documentation.

​AWS Budgets now offers enhanced filtering capabilities and cost metrics, providing greater flexibility in how customers track and manage their cloud costs. Customers can now create budgets for new cost metrics such as net unblended costs and net amortized costs allowing monitoring for costs after discounts. Customers can also exclude dimension values when creating a budget and include existing Cost Explorer charge types such as reservation applied usage, Savings Plan Upfront Fee, and Savings Plan Covered Usage. These new capabilities enable customers to budget against the actual cost of their applications, teams, or cost centers with support for automated discounts and advanced filtering. For example, customers can now create budgets that incorporate Savings Plans and Reservation discounts, ensuring alignment between budgeted amounts and actual invoiced costs. The new dimension exclusion capabilities allow customers to create more targeted budgets – for instance, a development team could track their project spending by excluding shared enterprise services, or a finance team could monitor regional spending by excluding global services. These enhancements are available in all AWS Regions, except the AWS GovCloud (US) Regions and the China Regions. To learn more about this new feature, AWS Budgets, and how to monitor costs, visit the AWS Budget product page and documentation.  

Amazon ElastiCache now supports Global Datastore in the Asia Pacific (Hong Kong, Hyderabad, Jakarta, Malaysia, Melbourne, Thailand), Africa (Cape Town), Canada West (Calgary), Europe (Milan, Spain, Zurich), Israel (Tel Aviv), Mexico (Central), and Middle East (Bahrain, UAE) Regions. Global Datastore is a feature of ElastiCache that provides fully managed, fast, reliable, and secure cross-Region replication. Using Global Datastore, you can write to your ElastiCache cluster in one Region and have the data available for read in two other cross-Region replica clusters, thereby enabling low-latency reads and disaster recovery across Regions.

Customers use Global Datastore for real-time applications with a global footprint, as it provides cross-Region replication with latency of typically under one second, increasing application responsiveness by providing geo-local reads closer to end users. In the unlikely event of regional degradation, one of the healthy cross-Region replica clusters can be promoted to become the primary cluster with full read and write capabilities. Once initiated, the promotion typically completes in less than a minute, allowing applications to remain available. To secure cross-Region data transfer traffic, Global Datastore uses encryption in transit.

To get started, you can set up a Global Datastore with an existing cluster, or create new clusters and designate a primary (active) cluster. Creating a Global Datastore takes only a few clicks in the AWS Management Console for ElastiCache or can be automated by downloading the latest AWS SDK or AWS CLI. For pricing and the regional availability, refer to the Amazon ElastiCache pricing page and our documentation.
 

​Amazon ElastiCache now supports Global Datastore in the Asia Pacific (Hong Kong, Hyderabad, Jakarta, Malaysia, Melbourne, Thailand), Africa (Cape Town), Canada West (Calgary), Europe (Milan, Spain, Zurich), Israel (Tel Aviv), Mexico (Central), and Middle East (Bahrain, UAE) Regions. Global Datastore is a feature of ElastiCache that provides fully managed, fast, reliable, and secure cross-Region replication. Using Global Datastore, you can write to your ElastiCache cluster in one Region and have the data available for read in two other cross-Region replica clusters, thereby enabling low-latency reads and disaster recovery across Regions. Customers use Global Datastore for real-time applications with a global footprint, as it provides cross-Region replication with latency of typically under one second, increasing application responsiveness by providing geo-local reads closer to end users. In the unlikely event of regional degradation, one of the healthy cross-Region replica clusters can be promoted to become the primary cluster with full read and write capabilities. Once initiated, the promotion typically completes in less than a minute, allowing applications to remain available. To secure cross-Region data transfer traffic, Global Datastore uses encryption in transit. To get started, you can set up a Global Datastore with an existing cluster, or create new clusters and designate a primary (active) cluster. Creating a Global Datastore takes only a few clicks in the AWS Management Console for ElastiCache or can be automated by downloading the latest AWS SDK or AWS CLI. For pricing and the regional availability, refer to the Amazon ElastiCache pricing page and our documentation.    

Today, AWS Systems Manager announces the launch of just-in-time node access, which helps remove long-standing permissions to nodes while maintaining operational efficiency. Customers can create zero standing privileges to nodes by requiring operators to request access to nodes managed by AWS Systems Manager that are running on AWS, hybrid, and multi-cloud environments before remotely connecting using AWS Systems Manager Session Manager.

As organizations grow, administrators need to track and control access to nodes. Just-in-time node access helps customers limit access to their systems and data to only when needed. Administrators can enable dynamic, time-bound access to nodes through policy-based approvals, controlling who can access which nodes and when. The policies determine whether an operator is denied access, automatically approved, or must obtain human approval before remotely connecting to nodes. Administrators can also increase visibility into Remote Desktop Protocol (RDP) sessions by recording session activity and storing recordings in S3.

AWS Systems Manager just-in-time node access is available in the following AWS Regions: Asia Pacific (Tokyo), Asia Pacific (Seoul), Asia Pacific (Mumbai), Asia Pacific (Singapore), Asia Pacific (Sydney), Canada (Central), Europe (Frankfurt), Europe (Stockholm), Europe (Ireland), Europe (London), Europe (Paris), South America (São Paulo), US East (N. Virginia), US East (Ohio), US West (N. California), and US West (Oregon). Just-in-time node access can be enabled in individual accounts, select organization units (OUs), or across an entire organization through the AWS Systems Manager console.

To get started, visit our user guide. To learn more about pricing, visit our pricing page.

​Today, AWS Systems Manager announces the launch of just-in-time node access, which helps remove long-standing permissions to nodes while maintaining operational efficiency. Customers can create zero standing privileges to nodes by requiring operators to request access to nodes managed by AWS Systems Manager that are running on AWS, hybrid, and multi-cloud environments before remotely connecting using AWS Systems Manager Session Manager. As organizations grow, administrators need to track and control access to nodes. Just-in-time node access helps customers limit access to their systems and data to only when needed. Administrators can enable dynamic, time-bound access to nodes through policy-based approvals, controlling who can access which nodes and when. The policies determine whether an operator is denied access, automatically approved, or must obtain human approval before remotely connecting to nodes. Administrators can also increase visibility into Remote Desktop Protocol (RDP) sessions by recording session activity and storing recordings in S3. AWS Systems Manager just-in-time node access is available in the following AWS Regions: Asia Pacific (Tokyo), Asia Pacific (Seoul), Asia Pacific (Mumbai), Asia Pacific (Singapore), Asia Pacific (Sydney), Canada (Central), Europe (Frankfurt), Europe (Stockholm), Europe (Ireland), Europe (London), Europe (Paris), South America (São Paulo), US East (N. Virginia), US East (Ohio), US West (N. California), and US West (Oregon). Just-in-time node access can be enabled in individual accounts, select organization units (OUs), or across an entire organization through the AWS Systems Manager console. To get started, visit our user guide. To learn more about pricing, visit our pricing page.  

Today, AWS announces the general availability of second-generation AWS Outposts racks, marking the latest innovation from AWS at the edge of the cloud for your workloads that require low latency, local data processing, and data residency.

Second-generation Outposts racks support the latest generation of x86-powered Amazon Elastic Compute Cloud (Amazon EC2) instances, starting with general purpose M7i instances, compute-optimized C7i instances, and memory-optimized R7i instances. These instances deliver twice the virtual CPU, memory, and network bandwidth, and up to 40% better performance compared to C5, M5, and R5 instances on first-generation Outposts racks. Second-generation Outposts racks also feature a new networking architecture that has built-in resiliency to handle network device failures and enables decoupling of compute and networking and self-service local gateway (LGW) configurations. These advancements simplify network operations and enable cost-efficient scaling of on-premises workloads. The launch also introduces a new category of EC2 instances for AWS Outposts racks with accelerated networking. These instances feature specialized network accelerator cards and are designed for the most latency-sensitive, compute-intensive, and throughput-intensive on-premises workloads such as core trading systems of financial exchanges, real-time market data distribution, telecom 5G core, and media distribution.

With second-generation Outposts racks, you can continue to leverage the same APIs, management console, automation, governance policies, and security controls for your applications across AWS Regions and on-premises locations. This allows you to centralize infrastructure management and boost developer productivity by standardizing on a common set of continuous integration and continuous delivery (CI/CD) pipelines.

For a current list of AWS Regions and countries/territories where Outposts racks are supported, check out the Outposts rack FAQs page.

To learn more, read this blog post.

​Today, AWS announces the general availability of second-generation AWS Outposts racks, marking the latest innovation from AWS at the edge of the cloud for your workloads that require low latency, local data processing, and data residency.
Second-generation Outposts racks support the latest generation of x86-powered Amazon Elastic Compute Cloud (Amazon EC2) instances, starting with general purpose M7i instances, compute-optimized C7i instances, and memory-optimized R7i instances. These instances deliver twice the virtual CPU, memory, and network bandwidth, and up to 40% better performance compared to C5, M5, and R5 instances on first-generation Outposts racks. Second-generation Outposts racks also feature a new networking architecture that has built-in resiliency to handle network device failures and enables decoupling of compute and networking and self-service local gateway (LGW) configurations. These advancements simplify network operations and enable cost-efficient scaling of on-premises workloads. The launch also introduces a new category of EC2 instances for AWS Outposts racks with accelerated networking. These instances feature specialized network accelerator cards and are designed for the most latency-sensitive, compute-intensive, and throughput-intensive on-premises workloads such as core trading systems of financial exchanges, real-time market data distribution, telecom 5G core, and media distribution.
With second-generation Outposts racks, you can continue to leverage the same APIs, management console, automation, governance policies, and security controls for your applications across AWS Regions and on-premises locations. This allows you to centralize infrastructure management and boost developer productivity by standardizing on a common set of continuous integration and continuous delivery (CI/CD) pipelines.
For a current list of AWS Regions and countries/territories where Outposts racks are supported, check out the Outposts rack FAQs page.
To learn more, read this blog post.  

Amazon DynamoDB Accelerator (DAX) now supports R7i instances, powered by custom 4th Generation Intel Xeon Scalable processors. R7i instances provide instance sizes up to 24xlarge, feature an 8:1 ratio of memory to vCPU, and include the latest DDR5 memory. These instances are now available in the following AWS Regions: US East (N. Virginia, Ohio), US West (N. California, Oregon), Asia Pacific (Mumbai, Singapore, Sydney, Tokyo), Europe (Frankfurt, Ireland, London, Paris, Spain, Stockholm), and South America (Sao Paulo).

DAX is a fully managed, highly available caching service built for Amazon DynamoDB that improves performance from milliseconds to microseconds – up to 10 times faster – even at millions of requests per second. As a fully compatible service with existing DynamoDB API calls, DAX requires no application logic modification. The service manages all aspects of cache invalidation, data population, and cluster management, allowing developers to focus on building applications without worrying about performance at scale.

For more information about R7i instance pricing, see DynamoDB pricing. To get started with DAX, see DAX: How It Works.

​Amazon DynamoDB Accelerator (DAX) now supports R7i instances, powered by custom 4th Generation Intel Xeon Scalable processors. R7i instances provide instance sizes up to 24xlarge, feature an 8:1 ratio of memory to vCPU, and include the latest DDR5 memory. These instances are now available in the following AWS Regions: US East (N. Virginia, Ohio), US West (N. California, Oregon), Asia Pacific (Mumbai, Singapore, Sydney, Tokyo), Europe (Frankfurt, Ireland, London, Paris, Spain, Stockholm), and South America (Sao Paulo). DAX is a fully managed, highly available caching service built for Amazon DynamoDB that improves performance from milliseconds to microseconds – up to 10 times faster – even at millions of requests per second. As a fully compatible service with existing DynamoDB API calls, DAX requires no application logic modification. The service manages all aspects of cache invalidation, data population, and cluster management, allowing developers to focus on building applications without worrying about performance at scale. For more information about R7i instance pricing, see DynamoDB pricing. To get started with DAX, see DAX: How It Works.  

Today, AWS End User Messaging introduces new features to help developers combat artificially inflated traffic (AIT), also known as SMS pumping. AIT occurs when bad actors use automated systems or bots to trigger large volumes of SMS messages, leading to unexpected charges that can cost businesses millions of dollars each year.

End User Messaging SMS Protect now allows developers to configure AIT detections setting rules for entire countries or specific messaging use cases. The granular control helps developers more accurately identify potential abuse while allowing legitimate messages to be delivered. End User Messaging now identifies and block messages that have a potential pumping risk with results shown on in-console dashboards, CloudWatch metrics, and in SMS events.

These new AIT mitigations are available in all AWS Regions where AWS End User Messaging is offered. SMS protect AIT monitoring and filter is priced at $0.01 per message in addition to standard SMS fees. Customers will not be charged SMS per-message fees for messages blocked by SMS protect.

To learn more about these new features, visit the Protect in the AWS End User Messaging SMS User Guide. You can also get started today by visiting the AWS End User Messaging console or reviewing our API documentation.
 

​Today, AWS End User Messaging introduces new features to help developers combat artificially inflated traffic (AIT), also known as SMS pumping. AIT occurs when bad actors use automated systems or bots to trigger large volumes of SMS messages, leading to unexpected charges that can cost businesses millions of dollars each year. End User Messaging SMS Protect now allows developers to configure AIT detections setting rules for entire countries or specific messaging use cases. The granular control helps developers more accurately identify potential abuse while allowing legitimate messages to be delivered. End User Messaging now identifies and block messages that have a potential pumping risk with results shown on in-console dashboards, CloudWatch metrics, and in SMS events. These new AIT mitigations are available in all AWS Regions where AWS End User Messaging is offered. SMS protect AIT monitoring and filter is priced at $0.01 per message in addition to standard SMS fees. Customers will not be charged SMS per-message fees for messages blocked by SMS protect. To learn more about these new features, visit the Protect in the AWS End User Messaging SMS User Guide. You can also get started today by visiting the AWS End User Messaging console or reviewing our API documentation.    

Today, Amazon Q Developer announced support for Model Context Protocol (MCP) in Amazon Q Developer Command Line Interface (CLI), enabling developers to leverage tools and prompts to support richer contextual, development workflows. MCP is an open protocol that standardizes how AI models can, in a secure and structured way, access external tools, data sources, and APIs.

Before this launch, you could only use the tools that were natively available in Q Developer CLI to help generate code and execute development workflows. With MCP tools support, now you can integrate into Q Developer CLI tools from an expansive list of AWS pre-built integrations or MCP Servers that support the stdio transport layer. This allows Q Developer to provide more customized responses by orchestrating tasks across native and MCP server based tools.

To get started with using an MCP server in Amazon Q Developer CLI and explore its new capabilities, visit the Amazon Q Developer documentation or read this blog to learn more.

​Today, Amazon Q Developer announced support for Model Context Protocol (MCP) in Amazon Q Developer Command Line Interface (CLI), enabling developers to leverage tools and prompts to support richer contextual, development workflows. MCP is an open protocol that standardizes how AI models can, in a secure and structured way, access external tools, data sources, and APIs. Before this launch, you could only use the tools that were natively available in Q Developer CLI to help generate code and execute development workflows. With MCP tools support, now you can integrate into Q Developer CLI tools from an expansive list of AWS pre-built integrations or MCP Servers that support the stdio transport layer. This allows Q Developer to provide more customized responses by orchestrating tasks across native and MCP server based tools. To get started with using an MCP server in Amazon Q Developer CLI and explore its new capabilities, visit the Amazon Q Developer documentation or read this blog to learn more.  

AWS Amplify now supports seeding data across Amazon Cognito, AWS AppSync, Amazon DynamoDB, and Amazon S3. Developers can programmatically create test users and associated resources through new APIs and a CLI command.

This feature simplifies testing and development workflows by enabling quick population of auth-dependent resources. Create Cognito users, seed DynamoDB records via AppSync with user context, and upload S3 objects – all while maintaining proper authentication relationships. This eliminates manual user creation and authentication steps previously required for testing auth-protected resources.

This feature is available in all regions where AWS Amplify is supported.

To learn more about implementing auth-dependent data seeding in your application, visit the AWS Amplify documentation for seeding.

​AWS Amplify now supports seeding data across Amazon Cognito, AWS AppSync, Amazon DynamoDB, and Amazon S3. Developers can programmatically create test users and associated resources through new APIs and a CLI command. This feature simplifies testing and development workflows by enabling quick population of auth-dependent resources. Create Cognito users, seed DynamoDB records via AppSync with user context, and upload S3 objects – all while maintaining proper authentication relationships. This eliminates manual user creation and authentication steps previously required for testing auth-protected resources. This feature is available in all regions where AWS Amplify is supported. To learn more about implementing auth-dependent data seeding in your application, visit the AWS Amplify documentation for seeding.  

You can now create Amazon S3 Access Grants in the AWS Asia Pacific (Malaysia) Region.

Amazon S3 Access Grants map identities in directories such as Microsoft Entra ID, or AWS Identity and Access Management (IAM) principals, to datasets in S3. This helps you manage data permissions at scale by automatically granting S3 access to end users based on their corporate identity.

Visit the AWS Region Table for complete regional availability information. To learn more about Amazon S3 Access Grants, visit our product page.
 

​You can now create Amazon S3 Access Grants in the AWS Asia Pacific (Malaysia) Region. Amazon S3 Access Grants map identities in directories such as Microsoft Entra ID, or AWS Identity and Access Management (IAM) principals, to datasets in S3. This helps you manage data permissions at scale by automatically granting S3 access to end users based on their corporate identity. Visit the AWS Region Table for complete regional availability information. To learn more about Amazon S3 Access Grants, visit our product page.    

• Categoría: Noticias de Microsoft

abril 29, 2025

El recorrido de Microsoft hacia Secure by Design: un año de éxito

Por: Bret Arsenault, vicepresidente corporativo y asesor principal de ciberseguridad.

La ciberseguridad es uno de los principales riesgos a los que se enfrentan las empresas. Las organizaciones luchan por navegar por el panorama de amenazas cibernéticas en constante evolución en el que se llevan a cabo 600 millones de ataques de identidad a diario.¹ El tiempo medio que tarda un ciberatacante en acceder a datos privados del phishing es de 1 hora y 12 minutos, y los ciberataques a los estados-nación van en aumento.² Las organizaciones también se enfrentan a una complejidad sin precedentes, lo que dificulta los trabajos de seguridad: el 57% de las organizaciones utilizan más de 40 herramientas de seguridad, lo que requiere importantes recursos y esfuerzos para integrar los flujos de trabajo y los datos.³ Estos desafíos se ven magnificados por la escasez global de talento en seguridad a la que se enfrentan las organizaciones y hay más de 4 millones de puestos de trabajo en seguridad sin cubrir en todo el mundo, el aumento de los riesgos internos y la rápida evolución del panorama regulatorio actual.⁴ Estos desafíos de ciberseguridad no solo pueden aumentar las interrupciones comerciales significativas, sino que también pueden crear daños económicos devastadores: se espera que el costo de la ciberdelincuencia crezca un 15% año tras año, alcanzando los 15,6 billones de dólares para 2029.⁵

Obtengan las últimas actualizaciones de la Iniciativa Futuro Seguro

En noviembre de 2023, para abordar la evolución del panorama digital y regulatorio, y los cambios sin precedentes en el panorama de las ciberamenazas, anunciamos la Iniciativa de Futuro Seguro de Microsoft. La Iniciativa Futuro Seguro (SFI, por sus siglas en inglés) es un esfuerzo de varios años para revolucionar la forma en que diseñamos, construimos, probamos y operamos nuestros productos y servicios, para lograr los más altos estándares de seguridad. SFI es nuestro compromiso de mejorar la postura de seguridad de Microsoft, para mejorar así la postura de seguridad de todos nuestros clientes, y de trabajar con los gobiernos y la industria para mejorar la postura de seguridad de todo el ecosistema.

El año pasado, la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA, por sus siglas en inglés), a través de su compromiso «Secure by Design», (Seguro por Diseño) pidió a la industria tecnológica que priorizara la seguridad en cada etapa del desarrollo y la implementación de productos. Este enfoque de incorporar la ciberseguridad en la entrega digital desde el principio también se refleja en la Estrategia de Seguridad Cibernética del Gobierno del Reino Unido, así como en las estrategias de mitigación de los «Ocho Esenciales» del Centro Australiano de Seguridad Cibernética (ACSC, por sus siglas en inglés) para protegerse contra las amenazas cibernéticas. A lo largo de esta publicación de blog, el término «seguro por diseño» abarca tanto «seguro por diseño» como «seguro por defecto».

Lean el compromiso de CISA de Secure by Design

Microsoft se comprometió a trabajar para alcanzar objetivos clave en un espectro de principios de seguridad desde el diseño defendidos por numerosas agencias gubernamentales de todo el mundo. Estos objetivos tienen como meta mejorar los resultados de seguridad para los clientes mediante la incorporación de prácticas sólidas de ciberseguridad en todo el ciclo de vida del producto. Seguimos con integración de nuestros aprendizajes, incorporándolos a nuestros estándares de seguridad y ponemos en práctica estos aprendizajes como caminos pavimentados que pueden permitir un diseño y operaciones seguros a escala. Nuestras actualizaciones de SFI proporcionan ejemplos del progreso de Microsoft en la implementación de los principios de seguridad por diseño, seguridad predeterminada y seguridad en operaciones, y proporcionan mejores prácticas basadas en la propia experiencia de Microsoft, lo que demuestra nuestra dedicación a mejorar la seguridad para los clientes.

Lean a continuación para obtener más información sobre las iniciativas que Microsoft ha emprendido en los últimos 18 meses para respaldar los objetivos de seguridad desde el diseño como parte de nuestra iniciativa SFI. Está organizado en torno a nuestros principios de SFI para proporcionar a nuestros clientes y socios una comprensión de las sólidas medidas de seguridad que implementamos para salvaguardar sus entornos digitales.

Mejora de la seguridad con la autenticación multifactor y la gestión de contraseñas predeterminadas

La autenticación multifactor resistente al phishing proporciona la defensa más sólida contra los ciberataques basados en contraseñas, incluido el relleno de credenciales y el robo de contraseñas. Esto incluye promover la autenticación multifactor entre los clientes, implementarla como un requisito predeterminado para el acceso y participar en los esfuerzos para establecer estándares a largo plazo en la autenticación.

En octubre de 2024, Microsoft implementó la autenticación multifactor obligatoria para el portal de Microsoft Azure, el centro de administración de Microsoft Entra y el centro de administración de Microsoft Intune. Desde entonces, Microsoft ha trabajado con nuestros clientes para reducir las extensiones y avanzar con rapidez en la adopción de la autenticación multifactor. Un logro clave es nuestro progreso en la eliminación de contraseñas en todos los productos. Microsoft ha introducido mejoras para simplificar la autenticación y mejorar las experiencias de inicio de sesión, para hacer hincapié en la facilidad de uso y la seguridad. Los usuarios ahora pueden eliminar contraseñas de sus cuentas y usar claves de acceso en su lugar, para abordar las vulnerabilidades y evitar el acceso no autorizado.

El 26 de marzo de 2025, Microsoft lanzó una nueva experiencia de inicio de sesión para más de mil millones de usuarios. A finales de abril de 2025, la mayoría de los usuarios de cuentas Microsoft verán flujos actualizados de experiencia de usuario de inicio de sesión y registro para aplicaciones web y móviles. Esta nueva experiencia de usuario está optimizada para una experiencia sin contraseña y con clave de paso. Microsoft también está en proceso de actualizar la lógica de inicio de sesión de la cuenta para que la clave de paso sea la opción de inicio de sesión predeterminada siempre que sea posible.

Entre los ejemplos adicionales de cómo Microsoft mejora la autenticación y cómo los clientes pueden aprender del enfoque y las soluciones de Microsoft se incluyen:

• Recomendaciones de Microsoft para que las organizaciones comiencen a implementar la autenticación sin contraseña resistente a la suplantación de identidad (phishing) mediante Microsoft Entra ID.
• Los valores predeterminados de seguridad facilitan la protección contra los ciberataques relacionados con la identidad, como la difusión de contraseñas, la reproducción y el phishing, comunes en los entornos actuales. Obtengan más información sobre las opciones de seguridad preconfiguradas disponibles en Microsoft Entra ID.
• El Acceso Condicional de Microsoft usa señales controladas por identidad como parte de las decisiones de control de acceso.
• Para ayudar a prevenir el phishing, Microsoft agregó protección adicional a Windows Hello, que es la solución de autenticación multifactor integrada en Windows. Windows Hello también se ha ampliado para admitir claves de paso, que son un estándar del sector, y en las que continuamos la evolución. Con Hello y las claves de paso, en Windows, significa que gran parte de la web se puede proteger con la autenticación multifactor, y los usuarios ya no tienen que elegir entre un inicio de sesión simple y un inicio de sesión seguro.
• Descubran cómo Microsoft avanza en los estándares de identidad descentralizados y las credenciales verificables.
• Tras la actualización de GitHub de abril de 2024 sobre un año de progreso en el impulso de la adopción de la autenticación multifactor, en el último año se han implementado más cohortes que requieren la habilitación de la autenticación multifactor. Este esfuerzo continúa con el impulso de la utilización de la autenticación multifactor, con casi el 50% de los usuarios contribuyentes de GitHub que tienen habilitada la autenticación multifactor. De ellos, más del 38% de los usuarios tienen dos o más métodos de autenticación de dos factores habilitados y más de 3,6 millones de usuarios tienen una clave de acceso habilitada en su cuenta. Además, GitHub ha impulsado las mejores prácticas en los métodos de autenticación multifactor y, en noviembre de 2024, envió mejoras en la gestión de la configuración de autenticación multifactor para organizaciones y empresas que permiten la restricción de métodos inseguros de autenticación multifactor, como la mensajería de texto.

Reducción de clases enteras de vulnerabilidades

La mayoría de las vulnerabilidades explotadas hoy en día provienen de tipos que a menudo se pueden mitigar a gran escala, como la inyección de código SQL, las secuencias de comandos entre sitios y las vulnerabilidades del lenguaje de seguridad de la memoria. Los gobiernos pretenden reducirlos a través de alentar a las empresas a adoptar prácticas como la eliminación de errores de lógica de validación de autorización, la habilitación del uso de lenguajes seguros para la memoria, la creación de arquitecturas de firmware seguras y la implementación de protecciones administrativas seguras. El objetivo es minimizar los riesgos de explotación al abordar las vulnerabilidades sistémicas desde su raíz.

Nuestra introducción del uso obligatorio de la biblioteca de autenticación de Microsoft (MSAL, por sus siglas en inglés) en todas las aplicaciones de Microsoft ayuda a garantizar que las defensas de identidad avanzadas, como el enlace de tokens, la evaluación continua del acceso y las detecciones avanzadas de ataques a aplicaciones, se implementen de forma coherente. Esto estandariza los procesos de autenticación seguros, lo que hace que sea mucho más difícil para los atacantes explotar las vulnerabilidades relacionadas con la identidad. MSAL permite a los desarrolladores adquirir tokens de seguridad de la plataforma de identidad de Microsoft para autenticar a los usuarios y acceder a las API web seguras. 

Lean el libro de seguridad de Windows actualizado y manténganse seguros con Windows

Microsoft también se ha comprometido a adoptar lenguajes seguros para la memoria, como Rust, para desarrollar nuevos productos y hacer la transición de los existentes. Este enfoque aborda vulnerabilidades comunes relacionadas con la seguridad de la memoria. Microsoft invierte mucho en lenguaje seguro para mejorar la seguridad de nuestro código, y aplicamos este nuevo enfoque a nuestra plataforma de seguridad y otras áreas clave como el firmware de seguridad de Microsoft Surface y Pluton.

En Windows 11, hemos aplicado una estrategia de seguridad por diseño desde la primera línea de código. Hemos establecido una línea de base de seguridad de hardware, que ayuda a garantizar que todas las PC con Windows 11 tengan una seguridad de hardware consistente que forme una base segura. Windows 11 tiene una configuración segura de forma predeterminada y controles más estrictos sobre qué aplicaciones y controladores pueden ejecutarse. Esto es importante ya que las aplicaciones y los controladores no verificados conducen a ataques de malware y scripts. Y la mayoría de las aplicaciones de malware y ransomware no están firmadas, lo que significa que se pueden crear y distribuir sin que se demuestre que son seguras. Para los consumidores y las organizaciones más pequeñas, Smart App Controles una nueva función que utiliza la IA en la nube para permitir que se ejecuten millones de aplicaciones seguras conocidas, sin importar de dónde las hayan obtenido. En el caso de las organizaciones más grandes, los administradores de TI pueden aplicar directivas de Control de aplicaciones para empresas e implementarlas mediante Intune.  

Con Windows que impulsa soluciones críticas para el negocio en una amplia variedad de clientes, nos comprometemos a ayudar a garantizar que Windows siga como la plataforma más segura y confiable. En Microsoft Ignite en 2024, anunciamos la Iniciativa de Resiliencia de Windows centrada en mejorar la seguridad y la resiliencia del sistema operativo Windows. Esto implica implementar características de seguridad avanzadas, mejorar las capacidades de detección y respuesta a amenazas, y ayudar a garantizar que Windows pueda resistir y recuperarse de los ciberataques. Como parte de la Iniciativa de Resiliencia de Windows, trabajamos para protegernos contra los ciberataques comunes, además de fortalecer la protección de la identidad mencionada anteriormente.  

Como parte de esto, abordamos el desafío de larga data de los usuarios y aplicaciones con privilegios excesivos, que crean un riesgo significativo. Sin embargo, muchas personas no quieren renunciar al control administrativo de su PC. Para ayudar a lograr el equilibrio entre los privilegios de administrador y la seguridad, presentamos la Protección de Administrador (en la actualidad en Windows Insiders). La protección de administrador les brinda la protección de los permisos de usuario estándar de forma predeterminada y, cuando sea necesario, pueden autorizar de forma segura un cambio de sistema Just-In-Time mediante Windows Hello. Una vez que se ha completado el proceso, se destruye el token de administrador temporal. Esto significa que los privilegios de administrador no persisten. La protección del administrador será perjudicial para los ciberatacantes, ya que ya no tienen privilegios elevados de forma predeterminada, lo que ayudará a las organizaciones a garantizar que mantengan el control de Windows. 

También colaboramos con socios de seguridad de endpoints (terminales) para adoptar prácticas de implementación seguras. Esto significa que todas las actualizaciones de los productos de seguridad serán graduales, lo que minimizará los riesgos de implementación y la supervisión para ayudar a garantizar que cualquier impacto negativo se mantenga al mínimo. Además, desarrollamos nuevas capacidades de Windows que permiten a los desarrolladores de productos de seguridad crear sus productos fuera del modo kernel, lo que reduce el impacto en Windows en caso de que se produzca un bloqueo del producto de seguridad.

Otro desarrollo clave es nuestro kit de herramientas de experiencia de usuario (UX, por sus siglas en inglés) segura por diseño. El error humano causa la mayoría de las brechas de seguridad. El kit de herramientas de UX ayuda a crear software más seguro y a mejorar las experiencias de seguridad de los usuarios. Este kit de herramientas representa una nueva forma de pensar, en la que el diseño y la seguridad no están aislados, sino que trabajan juntos desde el principio. Adoptado a nivel interno y compartido hacia afuera, el kit de herramientas ayuda a otras organizaciones de software a mejorar sus prácticas de seguridad.

Otras actividades en las que Microsoft ha trabajado para eliminar clases de vulnerabilidades incluyen:

• Soporte continuo para permitir que los desarrolladores usen el lenguaje seguro para la memoria Rust en Windows.
• Tomar medidas para mitigar los ataques de retransmisión de Windows NT LAN (NTLM, por sus siglas en inglés) de forma predeterminada contra el servicio de Exchange, los servicios de certificados de Active Directory y el protocolo ligero de acceso a directorios (LDAP, por sus siglas en inglés).
• La versión preliminar del Sistema de nombres de dominio (DNS, por sus siglas en inglés) de Confianza cero se amplió para incluir a los clientes empresariales de Windows 11. Esta función ayuda a bloquear los dispositivos solo para acceder a los destinos de red aprobados.
• Los productos de firmware integrado de Surface usan una arquitectura de firmware común.
• Lanzamiento de Windows 365 Link, que es el primer dispositivo PC en la nube para Windows 365. Windows 365 Link elimina los datos y las aplicaciones locales y no tiene usuarios administradores locales y proporciona a los empleados una forma de transmitir de forma más segura su PC en la nube con Windows 365.
• GitHub lanzó Compatibilidad de CodeQL con archivos de flujo de trabajo de GitHub Actions. Esta nueva capacidad de análisis estático identifica fallas comunes de integración continua y entrega continua (CI/CD, por sus siglas en inglés) tanto en las bases de código existentes como antes de que se introduzcan para ayudar a eliminar esta clase de vulnerabilidades. Con esta nueva característica, el Laboratorio de seguridad de GitHub pudo ayudar a proteger más de 75 flujos de trabajo de GitHub Actions en proyectos de código abierto, lo que reveló más de 90 vulnerabilidades diferentes.

Aumento de las tasas de aplicación de parches

La gestión oportuna y eficaz de los parches es necesaria para la ciberseguridad, ya que así es como podemos reducir la ventana de oportunidad para que los actores maliciosos exploten los fallos del software.

Microsoft ha realizado aumentos medibles en la instalación de parches de seguridad, lo que logramos al habilitar la instalación automática de parches de software cuando sea posible y habilitar esta funcionalidad de forma predeterminada, así como al ofrecer soporte generalizado para estos parches.

Microsoft continúa con el lanzamiento de actualizaciones de seguridad importantes el segundo martes de cada mes, conocido como Patch Tuesday. Este cronograma regular garantiza que todos los sistemas reciban actualizaciones oportunas para abordar las vulnerabilidades críticas, para reducir el riesgo de explotación por parte de los ciberatacantes.

Sobre esta base, Microsoft ha realizado avances significativos en la mejora del proceso de actualización con Windows 11. Al reducir el número de reinicios del sistema necesarios de 12 a cuatro por año mediante el uso de actualizaciones de parches en caliente, hemos simplificado aún más las operaciones y alentado a las organizaciones a seguir con el cumplimiento con los requisitos de parches.

Otros ejemplos de nuestros esfuerzos para aumentar las tasas de actualización de parches y seguridad incluyen:

• Windows Hotpatch: Anunciado en Microsoft Ignite 2024, proporciona una reducción del 60% en el tiempo de adopción de actualizaciones de seguridad, con la ayuda de la aplicación de actualizaciones sin problemas sin reinicios del sistema.
• Microsoft ha enfatizado la importancia de comunicar con claridad la vida útil esperada de los productos en el momento de la venta e invertir en capacidades de aprovisionamiento para facilitar las transiciones de los clientes a las versiones compatibles cuando los productos llegan al final de su ciclo de vida. Esta estrategia garantiza que los clientes estén bien informados y puedan adaptarse sin problemas a las nuevas tecnologías.

Adopción de una Política de Divulgación de Vulnerabilidades (VDP) y Vulnerabilidades y Exposiciones Comunes (CVE)

La divulgación coordinada de vulnerabilidades, una práctica que Microsoft adoptó hace más de una década, beneficia tanto a los investigadores de seguridad como a los fabricantes de software al permitir la colaboración para mejorar la seguridad de los productos. Un VDP que autorice las pruebas públicas de los productos, se comprometa a abstenerse de emprender acciones legales contra aquellos que sigan el VDP de buena fe, proporcione un canal claro para informar sobre las vulnerabilidades y permita la divulgación pública de vulnerabilidades de acuerdo con las mejores prácticas coordinadas de divulgación de vulnerabilidades y los estándares internacionales, marca una diferencia real para la ciberseguridad. Además, los fabricantes pueden demostrar transparencia al incluir campos precisos de Enumeración de debilidades comunes (CWE, por sus siglas en inglés) y Enumeración de plataforma común (CPE, por sus siglas en inglés) en cada registro de CVE para los productos del fabricante.

Nuestra adopción de los estándares CWE y CPE en todos los registros CVE de sus productos es un logro importante. Esta transparencia facilita la información precisa y detallada sobre las vulnerabilidades, lo que facilita la corrección oportuna y eficaz. Al emitir CVE con prontitud para todas las vulnerabilidades críticas o de alto impacto, Microsoft demuestra su compromiso de mantener un entorno seguro y proteger a sus clientes de posibles amenazas cibernéticas.

Otro punto destacado notable es la publicación de archivos CSAF legibles por máquina, que proporcionan un canal claro para informar de vulnerabilidades y autorizan las pruebas públicas de los productos de Microsoft. Esto fomenta la colaboración entre los investigadores de seguridad y los fabricantes de software, lo que permite la identificación y mitigación de vulnerabilidades de manera coordinada.

Otras actividades en las que Microsoft ha trabajado para adoptar VDP y CVE incluyen:

• Microsoft ha publicado un archivo security.txt con enlaces a diferentes aspectos de nuestros blogs relacionados con VDP CVE en general.
• Microsoft ahora emite CVE para vulnerabilidades críticas de servicios en la nube, sin importar si los clientes necesitan instalar un parche o tomar otras medidas para protegerse.
• Microsoft ha comenzado a publicar datos de causa raíz para los CVE de Microsoft por medio del estándar de la industria CWE. Al adoptar CWE, se puede facilitar un debate más eficaz en la comunidad sobre cómo descubrir y mitigar las debilidades en el software y el hardware existentes.
• Microsoft agregó un nuevo formato estándar legible por máquina, llamado Marco de asesoramiento de seguridad común (CSAF, por sus siglas en inglés), a toda la información de CVE de Microsoft para ayudar al cliente a acelerar la respuesta y corrección de CVE.

Capacitar a los clientes para detectar y documentar intrusiones

Las organizaciones deben hacer más para detectar incidentes de ciberseguridad y comprender su impacto. Para asegurarse de que pueden hacerlo, los fabricantes deben proporcionar artefactos y herramientas de recopilación de pruebas, como registros de auditoría.

Un ejemplo del compromiso de Microsoft en esta área es la implementación de sensores y registros robustos, lo que mejora la detección de amenazas cibernéticas. Esta iniciativa proporciona a los clientes información procesable sobre posibles intrusiones, lo que permite respuestas rápidas y mitigación de riesgos.

Otras actividades en las que Microsoft ha trabajado para capacitar a los clientes para detectar y documentar inclusiones incluyen:

• Microsoft Purview ha ampliado sus períodos de retención y registro de auditoría, entre otras mejoras de seguridad, para aumentar la visibilidad de la seguridad y las capacidades de respuesta a incidentes para los servicios basados en la nube.
• Microsoft Security Copilot ofrece promptbooks (libros de prompts) prediseñados para automatizar las tareas relacionadas con la seguridad, como las investigaciones de incidentes, el análisis de usuarios y las evaluaciones de inteligencia sobre amenazas, lo que mejora la eficiencia y la precisión en las operaciones de ciberseguridad.
• Microsoft ha proporcionado orientación detallada sobre la implementación de la estrategia Zero Trust del Departamento de Defensa (DoD, por sus siglas en inglés) de los Estados Unidos, con actividades categorizadas en fases objetivo y avanzadas para lograr la adopción total de Zero Trust para 2032.
• El cuaderno de estrategias de implementación de Cloud Logs expandido de Microsoft proporciona instrucciones detalladas sobre la puesta en marcha de nuevas capacidades de registro en Microsoft Purview Audit (Standard).
• Microsoft ha publicado un documento técnico sobre las lecciones aprendidas de la creación de equipos rojos de más de 100 productos de IA generativa en Microsoft. El documento técnico destaca la importancia de comprender los sistemas de IA, romperlos sin gradientes informáticos y la necesidad de la participación humana en el equipo rojo de IA, entre otros temas.

GitHub envió capacidades mejoradas al registro de auditoría de GitHub para proporcionar a los clientes una mayor visibilidad de los eventos y características de la API para permitir la administración, la automatización y la integración empresariales.

Para obtener más información sobre las soluciones de seguridad de Microsoft, visiten nuestro sitio web. Agreguen a Favoritos el blog de Seguridad para mantenerse al día con nuestra cobertura experta en asuntos de seguridad. Además, síganos en LinkedIn (Microsoft Security) y X (@MSFTSecurity) para conocer las últimas noticias y actualizaciones sobre ciberseguridad.

¹Informe de Defensa Digital de Microsoft 2024.

²Informe de defensa digital de Microsoft 2022.

³Encuesta de consolidación de herramientas y proveedores de IDC Norteamérica, 2023.

⁴Estudio de la fuerza laboral de ciberseguridad ISC2 2024.

⁵Costo estimado de la ciberdelincuencia mundial para 2029.

Etiquetas:

• Seguridad
• Tecnología

The post El recorrido de Microsoft hacia Secure by Design: un año de éxito appeared first on Source LATAM.

​The post El recorrido de Microsoft hacia Secure by Design: un año de éxito appeared first on Source LATAM.